В РФ предложили штрафовать за нарушение IT-безопасности на объектах критической инфраструктуры

Москва. 2 ноября. INTERFAX.RU - Правительство РФ в понедельник внесло в Госдуму законопроект, предусматривающий введение штрафов за нарушения требований к системам безопасности значимых объектов критической информационной инфраструктуры (КИИ) РФ.

Предлагается ввести штрафы за нарушение правил создания и функционирования систем безопасности российских значимых объектов КИИ, даже если несоблюдение инструкций не повлекло ущерба для самой критической инфраструктуры. Штрафы за нарушение законодательства при создании и ведении таких систем безопасности составят от 10 до 50 тыс. рублей для должностных лиц и от 50 до 100 тыс. рублей для юридических лиц, за неправильное информирование о компьютерных атаках на объекты критической инфраструктуры и их последствиях - от 10 до 50 тыс. рублей для должностных и от 100 до 500 тысяч рублей для юридических лиц.

Аналогичные взыскания предлагаются за несвоевременное информирование уполномоченных органов власти о необходимости присвоить объекту статус части КИИ и неправильное предоставление информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы, следует из текста законопроекта, размещенного на портале законодательной деятельности Госумы.

Соответствующие поправки предлагается ввести в виде новых статей Кодекса административных правонарушений (КоАП) 13.12.1 и 19.7.15. При этом правом рассматривать дела по этим статьям предлагается наделить только ФСБ РФ. В то же время законопроект дает возможность рассматривать дела о нарушении правил защиты информации (ст. 13.12 и 13.13 КоАП) руководителям подразделений Федеральной службы по техническому и экспортному контролю (ФСТЭК).

По данным авторов законопроекта, системы безопасности более чем 60% эксплуатантов значимых объектов критической информационной инфраструктуры сейчас не соответствуют требованиям. Кроме того, за 2019 год Национальный координационный центр по компьютерным инцидентам выявил 120 происшествий на объектах КИИ, но ни об одном из них в госсистему предупреждения и ликвидации последствий компьютерных атак сведения не поступали.

При этом в России насчитывается более 50 тысяч объектов КИИ из более чем 5 тысяч организаций, говорится в пояснительной записке к законопроекту. По данным разработчиков инициативы, из-за невыполнения требований к системам безопасности в ходе только одной крупной компьютерной атаки с использованием вируса-шифровальщика WannaCry в 2017 году значительные убытки понесли сразу три госкомпании - были заражены около трети их компьютеров и половины серверов, восстановление которых потребовало до трех суток. Затраты каждой из них только на привлечение специалистов по ликвидации последствий атаки составили по меньшей мере от 3 до 5 млн рублей, следует из пояснительной записки.

К объектам критической информационной инфраструктуры относятся значимые объекты промышленности, энергетики, связи, транспорта, здравоохранения, обороны, банковского сектора и других ключевых отраслей экономики РФ.